Internet-Law

Onlinerecht und Bürgerrechte 2.0

7.1.20

Kann man noch datenschutzkonform twittern?

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink hat unlängst mitgeteilt, seinen Twitteraccount zu löschen, nachdem das Bundesverwaltungsgericht entschieden hat, dass Aufsichtsbehörden ermessensfehlerfrei direkt gegen Betreiber von Facebook-Fanpages vorgehen und von diesen verlangen können, die Fanpage abzuschalten. Das Verhalten von Brink ist auch deshalb bemerkenswert, weil er selbst zu seinem Twitterauftritt eine Datenschutzfolgenabschätzung vorgenommen und sich die datenschutzrechtliche Unbedenklichkeit seiner Twitter-Aktivitäten darin selbst bescheinigt hatte.

Die Frage bleibt aber, ob die Fanpage-Entscheidungen des EuGH und des BVerwG auf Twitter übertragbar sind und was das grundsätzlich bedeuten würde. Wäre damit jeder Twitter-Account, für den die DSGVO gilt, unzulässig, weil nicht datenschutzkonform?

Im Urteil des BVerwG heißt es:

Der EuGH stützt sich maßgeblich auf die Erwägung, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 35). Damit leistet der Betreiber einen maßgeblichen Beitrag zur Verarbeitung personenbezogener Daten der Besucher der Fanpage (EuGH, Urteil vom 5. Juni 2018 a.a.O. Rn. 36).

Auf Twitter besucht man aber keine Profile, sondern man sieht die Tweets derjenigen Nutzer in seiner Timeline, denen man folgt. Der einzelne Twitternutzer leistet damit keinen kausalen und relevanten Beitrag dazu, dass Twitter die Aktivitäten der Nutzer, und zwar die aller Nutzer, trackt. Das Tracking bei Twitter knüpft, anders als bei der Fanpage, nicht daran an, dass jemand ein fremdes Profil besucht. Nach der Logik von Brink wäre jeder Nutzer von Twitter (auf den die DSGVO anwendbar ist), stets auch zusammen mit Twitter gemeinsamer Verantwortlicher. Das widerspricht aber der Rechtsprechung des EuGH, der in seiner Fanpage-Entscheidung ausdrücklich betont hat, dass die bloße Nutzung eines sozialen Netzwerks noch keine gemeinsame Verantwortlichkeit begründet.

Dass also jeder einzelne Twitternutzer einen maßgeblichen Beitrag zu einer Datenverarbeitung im Sinne der EuGH-Rechtsprechung leistet, erscheint eher fernliegend.

Ungeklärt ist letztlich auch die zentrale Frage, welche Datenverarbeitung überhaupt stattfindet und ob diese rechtswidrig ist. Das BVerwG betont, dass das Oberverwaltungsgericht zunächst Feststellungen zur Datenverarbeitung treffen und anschließend danach differenzieren muss, ob jemand Facebook-Mitglied ist oder ein nicht bei Facebook registrierter Internetnutzer. Im ersten Fall kommt eine Einwilligung in Betracht, im zweiten Fall eine gesetzliche Gestattung nach der DSGVO.

Im Fall von Twitter werden m.W. nur (registrierte) Nutzer getrackt. Die Frage wäre dann also, ob das von der Einwilligung, die Twitter bei den Nutzern einholt, gedeckt ist.

Hinzu kommt ein weiterer, wenig diskutierter Umstand. Bei der Facebook-Fanpage steht die werbliche Präsentation im Vordergrund, während bei Twitter der Schwerpunkt auf Kommunikation und Information liegt. Mit Blick auf Twitteraccounts von Privaten muss hier also auch die Bedeutung der Meinungs- und Informationsfreiheit berücksichtigt und stärker gewichtet werden als bei Fanpages. Hier stellt sich letztlich sogar die Frage, ob sich der Inhaber des Twitter-Accounts wegen der Bedeutung der Meinungsfreiheit auf ein Medienprivileg berufen kann. Würden Aufsichtsbehörden Twitteraccounts untersagen können, würde dies einen empfindlichen Eingriff in die Meinungs- und Informationsfreiheit bewirken.

Bei Twitteraccounts von juristischen Personen des öffentlichen Rechts ist die Frage zu stellen, inwieweit der Twitter-Account der Aufgabe dient, die Allgemeinheit, also den Bürger, zu informieren.

Die Entscheidungen zu Facebook-Fanpages sind also nicht ohne weiteres auf Twitter übertragbar, auch wenn das vielfach behauptet wird.

posted by Thomas Stadler at 21:09  

7.10.19

Die Cookie-Entscheidung des EuGH wird überschätzt

Nach der medial ausführlich besprochenen Entscheidung des Europäischen Gerichtshofs (Urteil vom 01.10.2019, Az.: C‑673/17) zu Cookies („Planet 49“) war vielerorts, beispielsweise bei Heise, zu lesen, dass Cookies künftig nur noch mit ausdrücklicher Einwilligung des Nutzers gesetzt werden dürften.

Mit dieser Frage hat sich der EuGH aber gar nicht explizit beschäftigt, weil der vorlegende BGH nicht danach gefragt hatte.

Vordergründig hat der EuGH nur entschieden, dass eine datenschutzrechtliche Einwilligung online nur im Wege eines Opt-In erfolgen kann und eine Opt-Out-Lösung nicht ausreichend ist. Das gilt für Einwilligungen im Sinne der weiterhin geltenden ePrivacy-Richtlinie ebenso wie für die Einwilligung nach der Datenschutzgrund-Verordnung (DSGVO). Zudem stellt der EuGH klar, dass der Anwendungsbereich der ePrivacy-Richtlinie nicht auf personenbezogene Daten beschränkt ist, sondern sich der Schutz vielmehr auf alle in Endgeräten der Nutzer gespeicherten Informationen erstreckt, unabhängig davon, ob es sich um personenbezogene Daten handelt.

Ob dem EuGH die Tragweite dieser Aussage bewusst war, darf man bezweifeln. Denn am Ende müsste dies dazu führen, dass jede Form der (Zwischen-)Speicherung auf dem Gerät des Nutzers zunächst einwilligungsbedürftig wäre. Der Ausweg wäre in diesem Fall nur noch Art. 5 Abs. 3 S. 2 der ePrivacy-RL, wenn die Speicherung allein dem Zweck dient, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen oder zu erleichtern oder, soweit dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen. In diesen Fällen ist keine Einwilligung nötig.

Mangels entsprechender Vorlagefragen hat sich der EuGH aber nicht mit der Frage befasst, wann ein Cookie „unbedingt erforderlich“ im Sinne von Art. 5 Abs. 3 der ePrivacy-RL ist. Session Cookies, die für einen Bestellprozess eingesetzt werden dürften aber hierunter fallen, ebenso wie Cookies, die einem Log-In-Prozess dienen.

Nicht beantwortet hat der EuGH zudem die Frage, ob ein Tracking bzw. das Setzen von Cookies auch auf andere Gestattungstatbestände als die Einwilligung gestützt werden kann, insbesondere auf Art. 6 Abs. 1 lit. f) DSGVO und mithin ein berechtigtes Interesse ausreichen kann. Nun lassen sich möglicherweise die Ausführungen des EuGH z.B. in Rn. 46 des Urteils schon derart interpretieren, dass der Gerichtshof auf Cookies ausschließlich Art. 5 der ePrivacy-RL anwenden will. Andererseits hat die Vergangenheit gezeigt, dass man einzelne Passagen aus Entscheidungen des EuGH, die nicht unmittelbar für die Vorlagefrage relevant sind, auch nicht überbewerten sollte.

Ob das Urteil also tatsächlich die Bedeutung hat, die ihm öffentlich beigemessen wird, darf bezweifelt werden. Klar ist lediglich, dass eine Opt-Out-Lösung bei Cookies künftig keine Option mehr darstellt.

Die fortbestehende Rechtsunsicherheit resultiert vor allem daraus, dass es dem Europäischen Gesetzgeber nicht gelungen ist, zeitgleich zur DSGVO die geplante ePrivacy-Verordnung in Kraft zu setzen, die derartige Fragen regeln müsste. Dieser Umstand verstärkt auch die Neigung im Zweifel alles über eine Einwilligung des Nutzers lösen zu wollen, was wiederum eine Pop-Up- und Wegklick-Logik nach sich zieht, die am Ende faktisch kaum zu einem besseren Schutz führen wird.

posted by Stadler at 17:38  

25.1.12

SPD-Gesetzesentwurf: Cookies nur noch mit Einwilligung

Ein Gesetzesentwurf der Bundestagsfraktion der SPD vom 24.01.2012 sieht vor, in das Telemediengesetzes (TMG) in § 13 folgenden Absatz 8 einzufügen:

(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Durch diese Neuregelung soll die E-Privacy-Richtlinie umgesetzt werden. Der Vorschlag der SPD ähnelt in diesem Punkt einem Gesetzesentwurf des Bundesrates.

Dass ich eine derartige Regelung kritisch sehe, weil die inflationäre Zunahme von Pop-Up-Fenstern zu befürchten steht, hatte ich bereits erläutert. Ob auf diese Weise tatsächlich eine Erhöhung des Datenschutzniveaus erreicht werden kann, darf bezweifelt werden. Vielmehr ist zu erwarten, dass die User aufpoppende Fenster schlicht genervt wegklicken werden, was der Vorstellung einer datenschutzrechtlichen Einwilligung, die auf einer ausreichenden Information beruht, letztlich eher zuwider läuft.

Die wesentliche Frage, unter welchen Voraussetzungen eine Ausnahme von der Einewilligungslösung gemacht werden kann, weil die Verwendung von Cookies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, beantwortet die Entwurfsbegründung der SPD freilich nicht. Wäre beispielsweise die Verwendung von Session-Cookies oder gar permanenten Cookies in Onlineshops unbedingt erforderlich, um den Shop betreiben zu können? Die Gesetzgebungstechnik der SPD-Fraktionn bedingt, dass diese zentrale Frage einmal mehr den Gerichten überlassen wird.

posted by Stadler at 11:34  

21.10.11

Wissenschaftlicher Dienst des Bundestages zu Facebook-Like-Button

Der wisenschaftliche Dienst des Bundestages hat ein Rechtsgutachten zur Frage der Verletzung datenschutzrechtlicher Bestimmungen durch Facebook Fanpages und Social-Plugins verfasst und sich hierbei insbesondere mit dem Vorgehen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen Webseitenbetreiber und Betreiber von Facebook-Like-Seiten befasst.

Das Gutachten ist interessanter Weise ebenfalls der Meinung, dass das ULD für die Verhängung von Bußgeldern überhaupt nicht zuständig ist. Im übrigen ist der wissenschaftliche Dienst der Ansicht, dass das ULD zwar weitgehend vertretbare Rechtsansichten geäußert hat, die allerdings äußerst umstritten und gerichtlich ungeklärt sind. Von einem eindeutigen Verstoß kann nach Ansicht des wissenschaftlichen Dienstes deshalb derzeit nicht ausgegangen werden.

Das ist im Ergebnis keine wirkliche Überraschung, wenngleich das Gutachten im Vergleich zu anderen juristischen Stellungnahmen ohnehin noch eher ULD-freundlich ausfällt.

Zu knapp ist m.E. allerdings die Erörterung der zentralen Frage ausgefallen, ob der Webseitenbetreiber, der den Like-Button bei sich einbindet, tatsächlich als verantwortliche Stelle im Sinne des Datenschutzrechts zu betrachten ist. Das ist nämlich äußerst zweifelhaft, wie ein Gastbeitrag von Stephan Schmidt in meinem Blog darstellt.

In der Rechtswissenschaft beginnt außerdem gerade die Diskussion über die grundlegende Reformbedürftigkeit des deutschen Datenschutzrechts, dessen Schieflage ich vor einiger Zeit schon einmal dargestellt hatte.

posted by Stadler at 17:30  

6.10.11

Privacy by Default?

Die Verbraucherzentrale Bundesverband (vzbv) hat vor einigen Tagen eine Onlinepetition zum Petitionsausschuss des Bundestages gestartet, mit der folgende Forderung erhoben wird:

„Der Deutsche Bundestag möge in den Datenschutzgesetzen regeln, dass die Grundeinstellungen von Produkten und Diensten so zu gestalten sind, dass so wenig personenbezogene Daten wie möglich erhoben oder verarbeitet werden.“

Interessant daran finde ich zunächst, dass auch Organisationen wie die vzbv das Mittel der Onlinepetition für sich entdeckt haben. Obwohl dieses Instrumentarium kaum geeignet ist, auf legislativer Ebene etwas zu bewegen, wird sein Einsatz immer beliebter. Letztlich geht es aber wie bei anderen Onlinepetitionen nur darum, Aufmerksamkeit zu erzeugen und Berichterstattung zu erreichen, denn der Petitionsausschuss als solcher kann und wird nichts bewirken.

Auch wenn die Forderung der vzbv nach „Privacy By Default“ auf den ersten Blick vernünftig klingt, muss man sie aus zwei Gründen für problematisch halten.

Die Formulierung ist zunächst in dieser Form deutlich zu unbestimmt. Was sind Produkte und Dienste? Zu den Diensten im Sinne des TMG und des RStV zählen alle möglichen Internetangebote von der normalen Website, über den Onlineshop bis hin zum Blog. Nachdem zusätzlich von Produkten die Rede ist, soll der Anwendungsbereich wohl noch darüber hinaus gehen. Dass damit also spezifisch soziale Medien wie Facebook angesprochen würden, ist nicht ersichtlich.

Wenn wir allerdings  tatsächlich speziell von Facebook und Co. reden, muss man sich außerdem darüber im Klaren sein, dass die Grundeinstellungen von Facebook, deren Datenschutzbestimmungen sowie die Praxis Facebooks, Daten nicht ohne weiteres mehr löschen zu können, ohnehin nicht mit dem geltenden Datenschutzrecht vereinbar ist. Der Grund dafür, dass sich bislang nichts geändert hat, resultiert aus einem Vollzusgdefizit des deutschen und europäischen Datenschutzrechts.

Wieso sollte man also annehmen, dass neue gesetzliche Regelungen alleine dazu führen werden, dass sich Facebook gesetzeskonform verhalten wird, wenn dies bislang auch nicht der Fall war? Am grundlegenden Problem der fehlenden Durchsetzung des Datenschutzrechts ändert sich durch zusätzliche gesetzliche Vorgaben jedenfalls nichts.

Kritisiert wird der Verstoß der vzbv übrigens auch vom Branchenverband BITKOM. Ob dessen Einwände stichhaltig sind, kann jeder selbst beurteilen.

Das Grundproblem von kostenlosen sozialen Medien wie Facebook oder Google+ besteht darin, dass der Anbieter seine Einnahmen mit den Daten der Nutzer erzielt. Dafür muss er Nutzer- bzw. Bewegungsprofile erstellen, die es ihm ermöglichen, gezielt zu werben oder gar Daten an Drittfirmen zu verkaufen. Letzteres wird offiziell freilich stets bestritten. Die Verkehrsdaten der Nutzer sind letztlich zentraler Bestandteil des Geschäftsmodells von Facebook und Google+.

Vor diesem wirtschaftlichen Hintergrund wird es auch in Zukunft schwierig sein, von Wirtschaftsunternehmen zu erwarten, dass sie eine kostenlose Dienstleistung erbringen und gleichzeitig auf jede Form des Trackings verzichten. Die Alternativen sind entweder bezahlte Mitgliedschaften, für die es keine ausreichende Nutzerakzeptanz gibt, oder altruistisch geführte Social-Media-Plattformen.

Solange die Anbieter aber Facebook oder Google heißen und wir uns als Nutzer auf deren Plattformen bewegen wollen, wird sich im Ergebnis wenig ändern. Facebook und Google werden immer versuchen, mit den Behörden zu kooperieren bzw. diesen Anschein erwecken. Alles was sie anzubieten haben, sind aber Scheinlösungen, weil sie andernfalls ihr Geschäftsmodell preisgeben müssten.

 

posted by Stadler at 13:31  

29.8.11

Kritik und Zustimmung für das ULD in der Causa Facebook

Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) veranstaltet gerade seine Sommerakademie unter dem zweifellos nicht selbstkritisch gemeinten Titel „Optimierte Verantwortung/slosigkeit Wer verantwortet eigentlich was in unserer smarten“ Welt?“.

Das passt thematisch jedenfalls ganz gut zu der immer noch tobenden Diskussion um das Vorgehen des ULD gegen Webseitenbetreiber und Unternehmer die den Facebook Like-Button verwenden bzw. auf Facebook eine sog. Fanseite betreiben.

Auch wenn sich weitere Datenschutzbehörden hinter das ULD gestellt haben, überwiegt in juristischer Hinsicht bislang eher die Kritik. Eine (unvollständige) Übersicht der juristischen Stellungnahmen:


    posted by Stadler at 11:57  

    22.8.11

    Wie geht es weiter mit dem Datenschutz?

    Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation „Digitale Gesellschaft“ schreibt in ihrem Blog dazu:

    Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

    Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

    Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

    Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

    Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

    In einem lesenswerten Beitrag von Adrian Schneider auf Telemedicus wird das Grundproblem sehr treffend auf den Punkt gebracht:
    Die technischen Abläufe lassen sich mittlerweile nur noch mit gehöriger juristischer Akrobatik vom Gesetz erfassen. Gleichzeitig ist die Realität im Netz eine völlig andere, als das Idealbild des Datenschutzes: Fast jede Webseite bindet irgendwelche externen Daten ein.

    Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

    Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

    Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

    Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

    Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

    Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

    Update:
    Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

    Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.

    posted by Stadler at 10:15  

    16.8.11

    Gesetzesentwurf zur Änderung des TMG offenbar nicht mehrheitsfähig

    Seit einigen Wochen wird über einen vom Bundesrat bereits beschlossenen Gesetezsentwurf zur Änderung des Telemediengesetzes diskutiert.

    Nach dem Willen der Bundesländer sollen damit u.a. die E-Privacy-Richtlinie, gerne auch Cookie-Richtlinie genannt, umgesetzt werden, sowie mit einem neuen §13a TMG strengere Datenschutzregelungen für soziale Netzwerke etabliert werden. In den Medien kolportiert wurde auch die Aussage, dass geplant sei, die Nutzung sozialer Netzwerke erst ab 16 zu erlauben.

    Für diese Regelungen zeichnet sich, zumindest in dieser Form, keine Mehrheit im Bundestag ab. In der Stellungnahme der Bundesregierung (am Ende des Dokuments ab S. 13) wird der Gestzesvorschlag in den zentralen Punkten abgelehnt. Zu der geplanten Regelung des § 13 Abs. 8 TMG, in der es um die Cookie-Thematik geht, hat die Bundesregierung eigene Vorschläge im Rahmen der laufenden TKG-Novellierung angekündigt. Was die datenschutzrechtlichen Aspekte anbelangt, möchte die Bundesregierung zunächst nach Lösungen auf europäischer Ebene suchen.

    posted by Stadler at 14:29  

    11.8.11

    IVW-Tracking-Tool doch nicht datenschutzkonform?

    Vor drei Tagen habe ich darüber berichtet, dass der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung verkündet hat, dass das Tracking-Tool der Fa. INFOnline GmbH, das u.a. von der IVW für ihre Reichweitenmessung eingesetzt wird, nunmehr datenschutzkonform sei.

    Kris Köhntopp hat diese Aussage aus technischer Sicht unter die Lupe genommen und erläutert anschaulich, warum eine Verbesserung des Datenschutzniveaus gerade nicht erreicht worden ist. Denn das Tracking des IVW basiert auf dem Einsatz von Cookies, wobei nach Ansicht Köhntopps im konkreten Fall mehr Daten erhoben werden als für die statistischen Zwecke der IVW notwendig.

    Auf Google+ hatte zuvor bereits Jürgen Kuri von der c’t darauf hingewiesen, dass das IVW-Zählverfahren offensichtlich dadurch datenschutzkonform gemacht wird, dass eine Opt-out-Möglichkeit eingeführt wird, die wiederum ein permamentes Cookie setzt. Denn durch dieses Cookie erkennt die IVW, dass man nicht gezählt werden möchte.

    Das ist aus datenschutzrechtlicher Sicht gänzlich widersinnig, um nicht zu sagen absurd und verdeutlicht einmal mehr, dass der Datenschutz in seiner bisherigen Form im Netz schlecht bis gar nicht funktioniert. Und ein Landesdatenschutzbeauftragter bejubelt den zusätzlichen Einsatz von Cookies als Durchbruch für den Datenschutz.

    Mir stellt sich hier dann aber auch die Frage, wie die Anbieter solcher Tools reagieren werden, wenn dieses Gesetzgebungsvorhaben tatsächlich das Ende der Cookies ohne Einwilligung einläutet? Was dann Herr Caspar?

    Wann kommt der längst überfällige Reality-Check im Datenschutzrecht?

    posted by Stadler at 21:53  

    11.7.11

    Cookies oder Pop-Up-Gewitter?

    Über das mögliche Ende der Cookies durch eine neue Vorschrift im TMG, die im Zuge der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation geschaffen werden soll, hatte ich kürzlich berichtet.

    Wie das mit dem Pop-Up-Gewitter in der praktischen Umsetzung aussehen würde, zeigt das Blog von David Naylor sehr anschaulich. Vielleicht kann man es sich ja so besser vorstellen.

    posted by Stadler at 10:10  
    Nächste Seite »